(计算机体系结构国家重点实验室(中国科学院计算技术研究所) 北京 100190) (中国科学院大学 北京 100049) (wanglei2011@ict.ac.cn)
出版日期: 2019-03-01基金资助:国家自然科学基金项目(61521092,61432016);国家重点研发计划项目(2017YFB0202002)Sparse Framework Based Static Taint Analysis Optimization
Wang Lei, He Dongjie, Li Lian, Feng Xiaobing(State Key Laboratory of Computer Architecture(Institute of Computing Technology, Chinese Academy of Sciences), Beijing 100190) (University of Chinese Academy of Sciences, Beijing 100049)
Online: 2019-03-01摘要/Abstract
摘要: 当前,隐私数据保护是信息系统安全的重要研究挑战,对应用程序进行隐私泄露检测是隐私泄露保护的有效方案.污点分析技术可以有效地对应用程序进行保密性和完整性的安全检测,提前报告出潜在的隐私泄露风险.然而,当前高敏感度的静态污点分析还存在开销过高的问题.通过对目前主流的污点分析工具FlowDroid进行深入分析,发现其污点分析计算中大量无关联污点传播是导致开销过高的重要原因,统计实验表明无关联传播占比高达85.2%.针对这一问题,尝试利用近年来一种有效的程序分析优化手段——稀疏优化——的方法,对静态污点分析中无关联的传播进行消除,达到时间和空间的开销优化.创新地将经典的数据流分析框架扩展成稀疏的形式,在此基础上提供了基于稀疏优化的污点分析方法.最后实现了工具FlowDroidSP,实验表明:FlowDroidSP在非剪枝模式下相比原FlowDroid具有平均4.8倍的时间加速和61.5%的内存降低.在剪枝模式下,具有平均18.1倍的时间加速和76.1%的内存降低.
参考文献
相关文章 15
| [1] | 郭方方, 王欣悦, 王慧强, 吕宏武, 胡义兵, 吴芳, 冯光升, 赵倩. 基于最大频繁子图挖掘的动态污点分析方法[J]. 计算机研究与发展, 2020, 57(3): 631-638. |
| [2] | 刘奇旭, 刘心宇, 罗成, 王君楠, 陈浪平, 刘嘉熹. 基于双向循环神经网络的安卓浏览器指纹识别方法[J]. 计算机研究与发展, 2020, 57(11): 2294-2311. |
| [3] | 李振,汤战勇,李政桥,王海,龚晓庆,陈峰,陈晓江,房鼎益. 一种跨APP组件间隐私泄露自动检测方法[J]. 计算机研究与发展, 2019, 56(6): 1252-1262. |
| [4] | 张磊,杨哲慜,李明琪,杨珉. TipTracer:基于安全提示的安卓应用通用漏洞检测框架[J]. 计算机研究与发展, 2019, 56(11): 2315-2329. |
| [5] | 乐洪舟,张玉清,王文杰,刘奇旭. Android动态加载与反射机制的静态污点分析研究[J]. 计算机研究与发展, 2017, 54(2): 313-327. |
| [6] | 张密,杨力,张俊伟. FuzzerAPP:Android应用程序组件通信鲁棒性测试[J]. 计算机研究与发展, 2017, 54(2): 338-347. |
| [7] | 路晔绵,李轶夫,应凌云,谷雅聪,苏璞睿,冯登国. Android应用第三方推送服务安全分析与安全增强[J]. 计算机研究与发展, 2016, 53(11): 2431-2445. |
| [8] | 路晔绵,应凌云,苏璞睿,冯登国,靖二霞,谷雅聪. Android Settings机制应用安全性分析与评估[J]. 计算机研究与发展, 2016, 53(10): 2248-2261. |
| [9] | 张慧琳,丁羽,张利华,段镭,张超,韦韬,李冠成,韩心慧. 基于敏感字符的SQL注入攻击防御方法[J]. 计算机研究与发展, 2016, 53(10): 2262-2276. |
| [10] | 陈铁明,杨益敏,陈波. Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统[J]. 计算机研究与发展, 2016, 53(10): 2299-2306. |
| [11] | 张玉清 王 凯 杨 欢 方喆君 王志强 曹 琛. Android安全综述[J]. 计算机研究与发展, 2014, 51(7): 1385-1396. |
| [12] | 焦四辈 应凌云 杨 轶 程 瑶 苏璞睿 冯登国. 一种抗混淆的大规模Android应用相似性检测方法[J]. 计算机研究与发展, 2014, 51(7): 1446-1457. |
| [13] | 李 挺1 董 航2 袁春阳1 杜跃进1 徐国爱2. 基于Dalvik指令的Android恶意代码特征描述及验证[J]. 计算机研究与发展, 2014, 51(7): 1458-1466. |
| [14] | 忽朝俭, 李舟军, 郭 涛, 时志伟,. 写污点值到污点地址漏洞模式检测[J]. , 2011, 48(8): 1455-1463. |
| [15] | 扈 啸 陈书明. 面向指令Cache周期预取的代码排布方法[J]. , 2009, 46(5): 747-755. |
PDF全文下载地址:
https://crad.ict.ac.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=3880
